„Uwaga! Urzędy skarbowe i Ministerstwo Finansów nie prowadzą telefonicznej ani mailowej weryfikacji rozpatrywanych spraw. Są to próby wyłudzeń ze strony oszustów, którzy chcą uzyskać od nas pieniądze lub informacje” - ostrzeżenie takiej treści pojawiło się na stronie Ministerstwa Finansów zaledwie kilka tygodni po wprowadzeniu Polskiego Ładu. Przestępcy chcą wykorzystać zamieszanie wokół nowego systemu podatkowego do ataku na dane i pieniądze.
Fałszywy urzędnik
Oszustwa „na Polski Ład” zdążyły już przybrać kilka różnych form. Pierwsza to ataki spoofingowe, czyli podszywanie się pod dowolny numer, który w aparacie odbiorcy identyfikowany jest jako określona nazwa i numer kontaktu. Do tej pory oszuści podszywali się głównie pod konsultantów z infolinii banków, ale ostatnio ofiary ataków widzą na ekranach swoich telefonów nazwy instytucji państwowych i ich prawdziwe numery telefonów. Odbierający telefon jest informowany np. o tym, że ma niewielką niedopłatę podatku, co wynikło ze zmian wprowadzonych w ramach Polskiego Ładu i natychmiast musi wyrównać niedopłatę, inaczej czeka go wysoka grzywna. Fałszywy urzędnik mówi, że tę niewielką kwotę można uiścić od razu podczas rozmowy, co rozwiąże problem. Następnie przesyła link, za pomocą którego ofiara ma zalogować się do swojej bankowości elektronicznej. Ten link (a dokładniej złośliwe oprogramowanie, które jest pod nim zaszyte) służy przestępcom do przechwycenia loginu i hasła.
W innym przypadku wcale nie chodzi o niedopłatę, wręcz przeciwnie: rzekomy urzędnik twierdzi, że danej osobie należy się wysoka ulga podatkowa. Aby ją otrzymać, wystarczy uzupełnić kilka informacji. Oferując pomoc w wypełnieniu wniosku, przestępcy wyłudzają wrażliwe dane, np. numer PESEL, numer i serię dowodu osobistego albo skan dokumentu tożsamości.
Warto pamiętać o tym, że żaden urzędnik – ani nikt inny – nie ma prawa prosić nas o: login i hasło do bankowości internetowej, numer karty płatniczej i jej kod CVV, a także o zainstalowanie dodatkowych aplikacji na telefonie i komputerze. Jeśli dzwoniący nakłania cię do ściągnięcia i zainstalowania programów typu TeamView lub QuickView lub jakichkolwiek aktualizacji wtyczek, to może być oszust. Są to aplikacje, które pozwalają na zdalne przechwycenie obrazu z ekranu.
Wiadomości dotyczące PIT-2
Wiele wątpliwości pracowników jest związanych z dokumentem podatkowym PIT-2. Przestępcy wykorzystują tę niepewność. Rozsyłają mejle i SMS-y, które informują o konieczności złożenia lub aktualizacji formularza PIT-2. Oszuści umieszczają jako nadawcę takiej wiadomości np. konkretny urząd skarbowy z nazwą miejscowości, resort finansów, ale czasem również nazwę firmy – i w takich przypadkach wielu odbiorców jest przekonanych, że wezwanie pochodzi od ich pracodawcy. Przestępcy mają tak dokładne informacje o ofiarach z internetu: nazwiska i mejle służbowe często są zamieszczane na oficjalnych stronach firm, a my sami oznaczamy miejsce pracy choćby w mediach społecznościowych. W takich mejlach zdarzają się załączniki, które mogą zawierać wirusy. Ich ściągnięcie powoduje zainstalowanie na urządzeniu oprogramowania szpiegującego, które kopiuje hasła do bankowości elektronicznej. Warto pamiętać także o tym, że takie wiadomości i SMS-y mogą też zawierać linki do formularzy, których wypełnienie grozi utratą oszczędności i danych.
W przypadku podejrzanego telefonu lub innej próby wyłudzenia danych, które dotyczą Ministerstwa Finansów, Urzędów Skarbowych lub Krajowej Administracji Skarbowej, należy zgłosić incydent na adres: [email protected].